第3步：過程分析

時(shí)間：2022-03-27 10:42:01 | 來源：網(wǎng)絡(luò)推廣

時(shí)間：2022-03-27 10:42:01 來源：網(wǎng)絡(luò)推廣

組織機(jī)構(gòu)擁有了必要的傳感器和數(shù)據(jù)后，就可以進(jìn)行分析了。進(jìn)行分析需要一個(gè)硬件和軟件平臺(tái)，在平臺(tái)上進(jìn)行設(shè)計(jì)和運(yùn)行分析方案，并能夠讓數(shù)據(jù)科學(xué)家設(shè)計(jì)分析方案。盡管通常是通過SIEM來完成的，但這并不是唯一的方法，也可以使用Splunk查詢語言來進(jìn)行分析，相關(guān)的分析分為四大類：

行為分析旨在檢測(cè)某種特定對(duì)抗行為，例如創(chuàng)建新的Windows服務(wù)。該行為本身可能是惡意的，也可能不是惡意的。并將這類行為映射到ATTCK模型中那些確定的技術(shù)上。

情景感知旨在全面了解在給定時(shí)間，網(wǎng)絡(luò)環(huán)境中正在發(fā)生什么事情。并非所有分析都需要針對(duì)惡意行為生成警報(bào)。相反，分析也可以通過提供有關(guān)環(huán)境狀態(tài)的一般信息，證明對(duì)組織機(jī)構(gòu)有價(jià)值。諸如登錄時(shí)間之類的信息并不表示惡意活動(dòng)，但是當(dāng)與其它指標(biāo)一起使用時(shí)，這種類型的數(shù)據(jù)也可以提供有關(guān)對(duì)抗行為的必要信息。情景感知分析還可以有助于監(jiān)視網(wǎng)絡(luò)環(huán)境的健康狀況(例如，確定哪些主機(jī)上的傳感器運(yùn)行出錯(cuò))。

異常值分析旨在分析檢測(cè)到非惡意行為，這類行為表現(xiàn)異常，令人懷疑，包括檢測(cè)之前從未運(yùn)行過的可執(zhí)行文件，或者標(biāo)識(shí)網(wǎng)絡(luò)上通常沒有運(yùn)行過的進(jìn)程。和情景感知分析一樣，分析出異常值，不一定表示發(fā)生了攻擊。

取證這類分析在進(jìn)行事件調(diào)查時(shí)最為有用。通常，取證分析需要某種輸入才能發(fā)揮其作用。例如，如果分析人員發(fā)現(xiàn)主機(jī)上使用了憑據(jù)轉(zhuǎn)儲(chǔ)工具，進(jìn)行此類分析會(huì)告訴你，哪些用戶的憑據(jù)受到了損壞。防御團(tuán)隊(duì)在網(wǎng)絡(luò)競(jìng)賽演習(xí)期間或制定實(shí)際應(yīng)用中的分析時(shí)，可以結(jié)合使用這四種類型的分析。下文將介紹如何綜合使用這四種類型的分析：

1.首先，通過在分析中尋找遠(yuǎn)程創(chuàng)建的計(jì)劃任務(wù)，向安全運(yùn)營中心(SOC)的分析人員發(fā)出警報(bào)，警告正在發(fā)生攻擊行為(行為分析)。

2. 在從受感染的計(jì)算機(jī)中看到此警報(bào)后，分析人員將運(yùn)行分析方案，查找預(yù)計(jì)執(zhí)行計(jì)劃任務(wù)的主機(jī)上是否存在任何異常服務(wù)。通過該分析，可以發(fā)現(xiàn)，攻擊者在安排好遠(yuǎn)程任務(wù)之后不久，就已在原始主機(jī)上創(chuàng)建了一個(gè)新服務(wù)(異常值分析)。

3. 在確定了新的可疑服務(wù)后，分析人員將進(jìn)行進(jìn)一步調(diào)查。通過分析，確定可疑服務(wù)的所有子進(jìn)程。這種調(diào)查可能會(huì)顯示一些指標(biāo)，說明主機(jī)上正在執(zhí)行哪些活動(dòng)，從而發(fā)現(xiàn)RAT行為。再次運(yùn)行相同的分析方案，尋找RAT子進(jìn)程的子進(jìn)程，就會(huì)找到RAT對(duì)PowerShell的執(zhí)行情況(取證)。

4. 如果懷疑受感染機(jī)器可以遠(yuǎn)程訪問其它主機(jī)，分析人員會(huì)決定調(diào)查可能從該機(jī)器嘗試過的任何其它遠(yuǎn)程連接。為此，分析人員會(huì)運(yùn)行分析方案，詳細(xì)分析相關(guān)計(jì)算機(jī)環(huán)境中所有已發(fā)生的遠(yuǎn)程登錄，并發(fā)現(xiàn)與之建立連接的其它主機(jī)(情景感知)。